非対称なコスト構造の常態化
ランサムウェアは「侵入コストは数万円、復旧コストは数億円」にもなり得る非対称なビジネスへ変質した。攻撃者は脆弱なVPNや公開サーバ、認証情報の使い回し、フィッシングといった定番手口を組み合わせるだけで成立する。RaaSの普及により、マルウェアやリークサイト運営がサービス化し、侵入担当は初期アクセスを購入して実行する分業が進んだ。結果として、巧妙さより「回転率」が重視され、被害側の負担だけが増大する構図である。
復旧費用が跳ね上がる現実
支払う身代金以外に、業務停止による逸失利益、調査・封じ込め、顧客対応、再発防止投資が積み上がる。ADやメール、ファイルサーバが同時に止まれば現場の代替手段が枯れ、停止が長期化しやすい。フォレンジックやログ収集、侵入経路の特定は専門性が高く、外部支援の活用で費用も時間も増える。さらにデータ窃取を伴う二重脅迫では、漏えい対応と説明責任が加わり「復号できたら終わり」にならない。
身代金支払いを前提にしない意思決定
支払いは復旧を早めるように見えても、復号不完全や追加要求、窃取データ削除の不確実性が残る。加えて支払いは攻撃者の資金源となり、同種攻撃を助長する。情シスが取るべきは、支払い可否の議論を中心に据えず「払わずに戻せる」復旧力を平時に作ることだ。停止許容時間、通知義務、契約影響まで含めたBCPの前提整理が不可欠である。
攻撃者のコストを上げる実装ポイント
入口対策は外部公開資産の棚卸しから始め、不要なVPN/RDP/管理画面は閉鎖し、必要なものはMFAとアクセス制御を必須化する。特権アカウントは分離し、日常アカウントで管理操作をさせず、踏み台端末やログオン経路を制限する。ネットワーク分割とEDR/SIEMで横展開の前兆(資格情報ダンプ、リモート実行、大量暗号化)を検知し、アラート運用まで手順化する。バックアップはオフライン/イミュータブルを用意し、認証情報を本番と分離したうえで、定期的なリストア演習でRTO/RPOを現実に合わせて更新する。